Microsoft wycofuje limit 2 000 zewnętrznych odbiorców w Exchange Online. Co to zmienia dla bezpieczeństwa i masowej wysyłki?

Wprowadzenie do problemu / definicja luki

Microsoft ogłosił, iż anuluje (bezterminowo) plan wprowadzenia Mailbox External Recipient Rate Limit (ERR) w Exchange Online — czyli limitu liczby zewnętrznych odbiorców, do których pojedyncza skrzynka mogłaby wysłać wiadomości w 24-godzinnym oknie.

Warto od razu doprecyzować: to nie jest „dziura” w sensie CVE, tylko zmiana w mechanizmach ograniczania nadużyć (anti-abuse / throttling). Tego typu limity mają znaczenie cyberbezpiecznościowe, bo realnie utrudniają użycie przejętych kont i aplikacji LOB do spamu, phishingu lub masowego rozsyłania treści na zewnątrz organizacji.

W skrócie

• Microsoft wycofał plan wprowadzenia mailboxowego limitu ERR „2 000 zewnętrznych odbiorców / 24h” w Exchange Online.
• Powód: klienci wskazywali na istotne problemy operacyjne i „ograniczone możliwości dostępnych dziś rozwiązań do wysyłki masowej”.
• Bez zmian zostają:
  • Recipient Rate Limit (limit odbiorców na 24h per mailbox),
  • Tenant External Recipient Rate Limit (TERRL) (limit zewnętrznych odbiorców na poziomie całego tenant’a).
• Microsoft dalej podtrzymuje cele: ograniczanie spamu/malicious mail oraz nadużyć (np. wysyłki z aplikacji LOB przez Exchange Online), ale chce to osiągać „mniej destrukcyjnymi” metodami.

Kontekst / historia / powiązania

Co planowano pierwotnie?

W kwietniu 2024 r. Exchange Team ogłosił, iż od kwietnia 2026 r. zacznie egzekwować ERR = 2 000 zewnętrznych odbiorców w 24h na skrzynkę, w dwóch etapach (najpierw nowe/„trial” tenante, potem istniejące). W tym samym wpisie wyjaśniono też, iż ERR ma być „pod-limitem” wewnątrz istniejącego Recipient Rate Limit.

Co się zmieniło w styczniu 2026?

6 stycznia 2026 r. Microsoft ogłosił, iż ERR jest anulowany bezterminowo, bo limit generował znaczące problemy operacyjne dla klientów.

Jak to się ma do tenantowych limitów (TERRL)?

Niezależnie od ERR, Microsoft wprowadził tenantowe limity wychodzącej poczty do zewnętrznych odbiorców (TERRL), z rolloutem egzekwowania od kwietnia 2025 (wielofazowo; część wdrożenia była oznaczona jako „Paused”).

Analiza techniczna / szczegóły zmiany

1) Mailbox ERR (anulowany): co to miało być?

• ERR (Mailbox External Recipient Rate Limit): limit zewnętrznych odbiorców (spoza „accepted domains” tenant’a), do których dana skrzynka mogłaby wysłać wiadomości w 24-godzinnym, kroczącym oknie.
• Planowany próg: 2 000 external recipients / 24h / mailbox.
• Microsoft podkreślał, iż Exchange Online nie jest usługą do bulk/transactional high-volume email.

W praktyce ERR miał uderzyć przede wszystkim w:

• automatyczne powiadomienia z aplikacji LOB,
• newslettery i kampanie,
• procesy „customer comms” realizowane (czasem niezgodnie z przeznaczeniem) przez Exchange Online.

2) Recipient Rate Limit (pozostaje): gdzie realnie jest „sufit” dziś?

Microsoft w dokumentacji limitów wskazuje Recipient rate limit jako mechanizm ograniczający masową wysyłkę (per user/mailbox, 24h). W tabeli limitów dla Exchange Online Plan 1/2 widnieje 10 000 odbiorców na dzień jako limit recipient rate (oraz osobny „recipient limit” per wiadomość).

Co istotne, Microsoft tłumaczył, iż ERR miał działać jako sub-limit: po wyczerpaniu 2 000 zewnętrznych odbiorców można byłoby przez cały czas wysyłać do wewnętrznych aż do łącznego limitu 10 000.
To już nie wejdzie — ale sam „główny” limit przez cały czas obowiązuje.

3) TERRL (pozostaje): ograniczenie tenant-wide

TERRL to limit liczby zewnętrznych odbiorców, do których cały tenant może wysłać w 24-godzinnym oknie; zależy od liczby licencji i jest raportowany w EAC (raport „Tenant Outbound External Recipients”).

Microsoft wprost rekomenduje: jeżeli organizacja musi wysyłać więcej na zewnątrz niż pozwala limit, rozważyć Azure Communication Services Email jako kanał do wysyłki masowej.

Praktyczne konsekwencje / ryzyko

1. Dla organizacji korzystających z Exchange Online do masowej wysyłki: krótkoterminowo ulga — nie dojdzie nowy, ostrzejszy „kaganiec” na poziomie pojedynczej skrzynki.
2. Dla bezpieczeństwa: brak ERR może oznaczać, iż w scenariuszu przejęcia konta atakujący przez cały czas ma „większy margines” do rozsyłki na zewnątrz — choć ograniczają go przez cały czas inne limity (recipient rate + TERRL) oraz mechanizmy antyspamowe.
3. Dla zespołów IT/SecOps: ryzyko operacyjne wciąż istnieje, bo Exchange Online przez cały czas nie jest projektowany pod wysyłkę high-volume; a Microsoft oficjalnie wskazuje, by legalny bulk email realizować przez dostawców wyspecjalizowanych w tym segmencie.

Rekomendacje operacyjne / co zrobić teraz

Poniżej plan działań, który jednocześnie poprawia bezpieczeństwo i zmniejsza ryzyko „niespodziewanych blokad” wysyłki:

1. Zidentyfikuj źródła wysyłki high-volume
   • Które skrzynki/aplikacje generują największą liczbę zewnętrznych odbiorców?
   • Sprawdź raporty w EAC pod kątem tenantowych limitów (TERRL) i trendów.
2. Oddziel kanały: komunikacja biznesowa vs masowa
   • Newslettery, kampanie, powiadomienia transakcyjne i automaty z LOB wynieś poza Exchange Online.
   • Microsoft wskazuje Azure Communication Services Email jako opcję dla bulk/high-volume; w dokumentacji limitów sugeruje też użycie zewnętrznych dostawców do legalnego bulk email.
3. Utwardź wysyłkę wychodzącą pod kątem nadużyć
   • Zabezpiecz konta wykorzystywane przez aplikacje (MFA, zasady dostępu warunkowego, minimalne uprawnienia).
   • Monitoruj anomalie: nagłe skoki liczby zewnętrznych odbiorców, wysyłka poza godzinami pracy, nietypowe geolokacje logowania.
4. Przygotuj plan awaryjny na limity, które zostają
   • ERR nie wejdzie, ale Recipient Rate Limit i TERRL zostają — scenariusz „limit hit” przez cały czas jest możliwy.
   • Ustal proces: kto reaguje, jak gwałtownie przełączacie kanał wysyłki, jak informujecie biznes.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

ERR (mailbox) vs Recipient Rate Limit (mailbox) vs TERRL (tenant) — najprościej:

• Recipient Rate Limit: globalny limit odbiorców na skrzynkę (wewnętrzni + zewnętrzni) w 24h.
• ERR (anulowany): miał ograniczać tylko zewnętrznych odbiorców na skrzynkę (2 000/24h) jako sub-limit.
• TERRL: limit zewnętrznych odbiorców na poziomie całej organizacji (tenant), zależny od licencji.

W praktyce: jeżeli Twoim problemem jest „jedna skrzynka wysyła za dużo na zewnątrz” — ERR miał to temperować. Po anulowaniu pozostaje podejście: monitoring + segmentacja kanałów + dedykowany provider do masówki.

Podsumowanie / najważniejsze wnioski

• Microsoft bezterminowo wycofał plan wprowadzenia Mailbox ERR (2 000 zewnętrznych odbiorców/24h) w Exchange Online.
• Decyzja wynika z presji operacyjnej ze strony klientów, a Microsoft zapowiada „mądrzejsze i bardziej adaptacyjne” sposoby walki z nadużyciami.
• Organizacje powinny założyć, iż Exchange Online nie jest platformą do wysyłki masowej: docelowo warto przenieść takie scenariusze do rozwiązań typu ACS Email / zewnętrzni dostawcy, a w Exchange skupić się na bezpiecznej komunikacji użytkowników i procesach typowo „mailowych”.

Źródła / bibliografia

• Microsoft Exchange Team Blog: „Exchange Online canceling the Mailbox External Recipient Rate Limit” (6 stycznia 2026) (TECHCOMMUNITY.MICROSOFT.COM)
• Microsoft Exchange Team Blog: „Exchange Online to introduce External Recipient Rate Limit” (15 kwietnia 2024; wpis historyczny z aktualizacją o anulowaniu) (TECHCOMMUNITY.MICROSOFT.COM)
• Microsoft Exchange Team Blog: „Introducing Exchange Online Tenant Outbound Email Limits” (TERRL i rollout) (TECHCOMMUNITY.MICROSOFT.COM)
• Microsoft Learn: „Exchange Online limits — Sending limits (Recipient rate limit, TERRL…)” (Microsoft Learn)
• BleepingComputer: „Microsoft cancels plans to rate limit Exchange Online bulk emails” (6 stycznia 2026) (BleepingComputer)